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^54) SYSTEIWE DE SECURITE DE TRAITEIVIENT, DE STOCKAGE, D'ACCES ET DE TRANSFERT DE DONNEES 
CONFIDENTIELLES. 



\^ Le systeme de traitement de donnees confidentielles 
comprend au moins: 

un premier ensemble de traitement des donnees com- 
prenant au molns un serveur auquei sont connectes au 
molns une premiere base de donnees, au molns un module 
de salsle et d'enregistrement desdites donnees dans ladlte 
premiere base, apres cryptage, a I'alde d'une premiere cle 
publique correlee a une premiere de privee, enregistrees 
dans une memoire du serveur, ledit premier ensemble com- 
portant au molns un module de lecture des donnees enre- 
gistrees pourvu d'un lecteur d'un support avec memoire 
contenant au molns une cie utilisateur, correiee au couple 
premiere cie publique et privee, cette cle utiilsateur etant uti- 
llsable pour le decryptage de tout ou partle des donnees 
cryptees, 

un second ensemble de traitement et de stocl<age des 
donnees, comprenant au molns premier serveur auquei 
sont connectes au moins une premiere base de donnees 
dans iaquelle sont archlvees ies donnees confidentielles 
prealablement enregistrees dans la premiere base de don- 
nees du premier ensemble de traitement, ledIt second en- 
semble de traitement etant connectable au premier par des 
llgnes telephonlques et/ ou speclallsees, et etant pourvu 



d'un serveur constituent domalne raclne, et generant un 
certiflcat d'authentlflcatlon raclne comprenant deux des ra- 
cines publique et privee, ledIt domalne raclne etant apte 
pour chaque premier ensemble a generer au molns un cer- 
tiflcat d'authentlflcatlon secondaire compose de ladite pre- 
miere de publique et de ladlte premiere de privee et pouvant 
recevoir notamment du premier ensemble des demandes 
de transfert de cople des donnees archlvees, lesquelles 
sont transferees apres cryptage avec la premiere cle publi- 
que. 
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SYSTEME SECURISE DE TRAITEMENT, DE STOCKAGE, D'ACCES ET DE TRANSFERT DE 
DONNEES CONFIDENTIELLES. 

La pr6sente invention est relative a un syst6me s6curis6 de trartement, de stockage, 
d'acc6s et de transfert de donnees nunfi6riques confidentielles par exennple de donnees 
medicales relatives ^ l'6tat de sant6 de patients, clients d'un ou plusieurs centres de soins tels 
que cliniques, hdpitaux, et autres, ainsi qu'aux resultats des examens medicaux qu'ils ont 6t6 
amenes a subir dans lesdits centres de soins, les resultats de ces examens m§dlcaux 6tant 
mat6rialis6s par des comptes-rendus ecrits associ6s 6ventuellement ^ un ou plusieurs 
enregistrements d'images fixes par exemple des radiograptiies, et/ou ^ des images dynamiques, 
par exemple des sequences videos d'6ctiographie, et/ou des sequences sonores par exemple 
des sequences Doppler. 

Les comptes-rendus Merits sont 6tablis par le medecin en charge de I'examen medical 
Pour un patient, client de plusieurs services medicaux d'un m§me centre de soins, il est 
utile de pouvoir completer d'un service d I'autre le dossier medical de ce patient sans devoir au 
niveau de chaque service ressaisir les donn6es de base telles que I'etat civil du patient, par 
exemple son sexe, ses noms, prenoms, age, profession, son num6ro de security sociale, sa 
caisse d'affiliation, sa mutuelle ou son assurance medicale. Les renseignements communs 
peuvent concemer aussi des donnees morphologiques telles que la taille et le poids, ainsi que 
les antecedents medicaux et les facteurs hereditaires. De m§me, peuvent etre saisies des 
donnees relatives aux degr6s de d6pendances du patient vis-d-vis de certains produits tels que 
le tabac, I'alcool etc. 

II est int6ressant d'associer d ces donn6es de base, d'autres donnees relatives a 
I'tiistorique medical du patient dans le centre de soin. Cet historique pourra ainsi faire 6tat des 
diff6rentes pathologies tant m6dicales que chirurgicales, des traitements presents et de leurs 
6tats secondaires. 

11 y a lieu de noterque les differentes pathologies, les r6ponses th^rapeutiques et les 
etats secondaires associes sont codes pour une meilleure tra?abilite des actes medicaux et 
chirurgicaux accomplis, des dur6es et des couts d'hospitalisation. Ces codes pour la France ont 
6t6 d6finis par le minist6re de la sant6 et sont connus sous le temne de « PMSI ». 

Actuellement toute structure d'hospitalisation retrace manuscritement, sous forme d'un 
codage PMSI, I'historique du patient dans la structure hospitali^re. 
Une telle fagon d'op6rer particuli6rement fastidieuse en sol occupe bien souvent plusieurs 
personnes sous la responsabilite du medecin en charge de rapplication du PMSI. 

La vulgarisation des materiels et logidels infonmatiques penmet un traitement 
infonmatique particuliferement ais6 des dossiers medicaux du patient. Cependant cette facility de 
traitement offre en corollaire ^ des personnes non autoris6es I'acc^s a des donn6es strictement 
confidentielles. Outre la violation du secret, les donn6es des dossiers medicaux se trouvent 
exposees a des effacements accidentels ou volontaires ou des modifications accidentelles ou 
fraud uleuses. 
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Le traitement infonmatique des donn6es m6dicales ne trouve son int6r6t que si d'une pari 
il conceme Tensemble des donnees, r6sultat d'examen compris (radiographic, sequences 
echographiques, sequences sonores Doppler) et si les fonmats utilises pour I'enregistrement de 
ces donn6es sont standards et largement utilises. 
5 Bien qu'il sort possible actuellement d'enregistrer num^riquement des images 

dynamiques, les formats d'enregistrement utilises par exemple du type « DAICOM » sont trop 
sp6cifiques et r6serv6s aux seuls centres m6dicaux 6quip6s de machines et iogiciels adapt6s. 

Le cout 6lev6 de ces machines et Iogiciels, r6serve leurs utilisations aux seuls centres 
importants. 

10 La numerisation d'images fixes par exemple des radiographics, bien que techniquement 

plus simple ne semWe pas avoir 6t6 abordee de sorte que ces images sont encore foumies sur 
papiers argentiques avec tous les probl6mes Ii6s ^ I'utilisation de tels supports tels que necessite 
d'utiliser des bains corrosifs pour le d6veloppement des images, bains qui doivent subir des 
traitements appropri6s avant rejet. Un autre inconvenient Ii6 ^ I'utilisation de tels supports est leur 

1 5 cout relativement eleve. En moyenne, le cout du support ct du d6veloppement se situe aux 
alentours d'une centaine de francs. 

Lc d^veloppement de r6seau du genre Internet ou Intranet, pemriet comme on le salt un 
^change rapide de donn6es entre deux points geographiques distants I'un de I'autre, et la 
consultation ^ distance de donn6cs enregistr6es. II devient alors int6rcssant d'utiliser de tels 

20 r^seaux pour consulter et/ou modifier k distance les dossiers medicaux de patients clients d'un 
centre de soins m6dicaux. dont certains des services sont r^partis sur une aire g6ographique 
relativement 6tendue, de la taille d'une ville. 

Un autre cas typique pour lequel il est utile d'utiliser de tels r6seaux dans les buts 
pr6cit6s est celui d'un m6decin attach^ k plusieurs centres de soins, possedant des disciplines 

25 medicales differentes et qui suit tour d tour un meme patient dans un centre et dans un autre. 

Enfin, un autre cas est celui d'un m6decin attache ^ un centre de soins et qui se rend au 
chevet d'un patient client de ce m§me centre de soins. 

Bien que particuli6rement avantageuse et peu couteuse, I'utilisation de tels r6seaux se heurte ^ 

leur manque de fiabilit6 en temnes de confidentialit6s de donn6es 6chang6es. II est tnen sur 
30 connu de crypter les donnees, mais il est imperatif que ces donn6es ne puissent 6tre lues que 

par le medecin en charge du patient ou par toute autre personne I6galement autoris^e ^ prendre 

connaissance de ces donnees. 

La presente invention a pour objet de resoudre les differents probl6mes 6voqu6s en 

proposant un systeme de traitement de donnees et de stockage qui ne reserve I'accfes de 
35 donn6es confidentielles qu'^ des personnes dument habilit6es. 

Un autre but de la presente invention est un syst6me de traitement des donn6es qui rende 

techniquement difficile voire impossible au moins a des personnes non habilit6es, la modification 

de donn6es pr^alablement saisies et valid6es. 
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Un autre but de la presente invention est un systeme de traitement des donnees qui permette 
I'enregistrement de certaines donn6es sur des CD ROM suivant des fonnats connus tels que 
JPEG ou MPEG. 

Un autre but de la pr6sente invention est un systeme de traitement de donn6es qui rend 
5 techniquement difficile voire impossible, au moins ^ des personnes non habllit6es, la modification 
de donnees pr^alablement enregistrees. 

A cet effet, le systSme de traitement de donn6es num6riques par exemple des donnees 
m6dicales des dossiers m6dicaux de plusieurs patients, clients d'un ou plusieurs centres de 
soins, se caracterise essentiellement en ce qu'il comprend : 

10 - au moins un premier ensemtjie de traitement des donnees comprenant au moins un serveur 
auquel sont connects au moins une premiere base de donnees, au moins un module de saisie 
et d'enregistrement des dites donnees confidentielles dans ladite premiere base de donnees, 
lesdites donn6es avant enregistrement 6tant cryptees a I'aide d'une premiere cl6 puWique 
enregistr6e dans une memoire du serveur, ladite m6moire contenant aussi une premiere cl6 

1 5 priv6e corr6l6e a la premi6re cl6 puWIque, ledit premier ensemble comportant en outre au moins 
un module de lecture des donnees enregistrees pourvu d'un lecteur d'un support avec memoire 
contenant au moins une cle utilisateur, corr6l6e au couple premiere cle publique et premiere cl6 
priv6e, cette cl6 utilisateur 6tant utilisable pour le d6cryptage de toutes les donn6es cryptees ou 
d'une partie de ces demi6res seulement, selon le niveau d'autorisation attactie a ladite cle 

20 utilisateur, 

- un second ensemble de traitement et de stockage des donnees, comprenant au moins premier 
serveur auquel sont connect6s au moins une premiere base de donn6es dans taquelle sont 
archiv6es les donnees confidentielles prealablement enregistrees dans la premiere base de 
donn6es du premier ensemble de traitement, ledit second ensemble de traitement 6tant 

25 independent du premier et 6tant connectable ^ ce demier par des lignes t6lephoniques et/ou par 
des lignes sp6cialis6es, ledit second ensemble 6tant de plus pourvu d'un serveur constituant 
domaine racine, ledit serveur g6n6rant un certificat d'authentification racine comprenant une cle 
racine publique et une cl6 racine privee, et ledit domaine racine 6tant apte pour chaque premier 
ensemble k g6n6rer au moins un certificat d'authentification secondaire compose de ladite 

30 premiere cle publique et de ladite premiere cle priv6e et pouvant recevoir notamment du premier 
ensemble de traitement des demandes de transfer! de copie des donnees archivees, ledit 
second ensemble en r6ponse ^ cette demande, assurant le cryptage des dites donn§es avec la 
premiere de publique avant de transferer les dites donnees vers le premier ensemble de 
donnees 

35 Une telle architecture confere au systeme de traitement un haut niveau de securite, 

I'acces aux donnees etant reserve aux seules personnes habilitees et lesdites donnees etant 
systematiquement cryptees avec la cle publique du destinataire avant leur transfert du second 
ensemble de traitement vers le premier ensemble de traitement. En outre I'archivage numerique 
de toutes les donnees permet maintenant un traitement statistique de ces demieres. 
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De plus la saisie de toutes les donn6es par le biais de moyens infoimatiques. tant 
logiciels que mat^riels autorise une automatisation poussee de I'^laboration et de la tenue des 
formulaires du PMSI. 

Salon une autre caract^ristlque de I'invention, les donn6es alphanum6riques, saisies au 
5 niveau du premier ensemble, sont apres validation de la saisie et avant cryptage, codees selon le 
format HTML. 

Ce langage it balises, utilise comme on le salt pour coder des pages WEB presente deux 
avantages majeurs, il rend tr6s difficile la modification des donn6es d'une part et se pr§te 
particuli^rement bien d des transferts par le biais du r^seau Intemet. 
10 Selon une autre caract6ristique de I'invention, le premier ensemble comprend plusieurs 

bases de donn6es dont une au moins repolt les fichiers numeriques d'images fixes comme des 
radiographies. 

Selon une autre caract6ristique de I'invention, le premier ensemble de traitement 
comprend plusieurs bases de donn6es dont une au moins re(?oit les fictiiers num6riques 
1 5 d'images dynamiques telles qu'echographie. 

Selon une autre caract6ristique de I'invention, le premier ensemble est 6quip6 de 
plusieurs bases de donnees dont une au moins revolt les fichiers numeriques de sequences 
sonores par exemple Doppler. 

Ainsi les donnees en fonction de leurs natures sont stock6es sur des supports diff^rents 
20 ce qui diminue le temps d'acc6s aux dites donnees. 

Selon une autre caractdristique de I'invention, I'un au moins module de consultation du 
premier ensemble de donn6es est constitu6 par un terminal du type micro-ordinateur connects 
aux bases de donn6es et poss6dant un lecteur de carte utilisateur, ledit micro-ordinateur 6tant 
§quipe d'une carte video prevue avec deux sorties connect6es k deux 6crans vid6o pour 
25 I'affichage simultan6 sur I'un, des images fixes ou dynamiques et sur I'autre des 6ventuels 
commentaires ecrits associ6s a aux dites images fixes ou dynamiques. 

On comprend tout I'int^ret d'une telle architecture puisqu'elle penmet I'affichage simultane 
sur un ecran d'une image par exemple une image radiologique et sur I'autre 6cran du diagnostic 
etabll par le mededn en charge de I'examen. 
30 Selon une autre caract6ristique de I'invention, le second ensemble de traitement est 6quip6 d'un 
serveur reseau Intemet. 

Par ce biais, un medecin attach^ k un centre de soin, sans etre pr6sent dans ledit centre 
poun-a consulter d distance le dossier medical de I'un de ses patients. 

Selon une autre caracteristique de I'invention, le second ensemble de traitement est 
35 6quip6 d'un serveur de courrier 6lectronique associ6 ^ une base de donnees dans laquelle sont 
introduces les adresses Intemet des personnes autoris6es d envoyer et recevoir les donnees 
confidentielles et une autre base de donnees contenant les premieres des publiques de chacune 
de ces personnes 

Selon encore une autre caracteristique de {'invention, le serveur Intemet du second 
40 ensemble de traitement pilote un site Internet comportant une partie publique accessible ^ toutes 
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personnes int6ress6e, regroupant diverses donn6es publiques non confidentielles relatives au 
premier ensemble de traitement et une partie priv6e accessible aux titulaires d'une cle 
d'utilisation. 

Selon une autre caracteristique de I'invention, le serveurde r6seau Internet integre un 
5 moteur sp6cialis6 de recherche des possesseurs des adresses Internet et des patients clients. 

Selon une autre caracteristique de I'invention, le premier ensemble de traitement est dote 
d'une adresse Internet et I'accSs via le reseau internet au premier ensemble de traitement et aux 
donn6es confidentielles que ce dernier possdde tant au niveau de ses propres bases de 
donn6es que des bases de donn6es du second ensemble de traitement est valide par le serveur 
1 0 de cl6 du second ensemble de traitement. 

Le systeme de traitement de donn6es confidentielles telles que les donn6es m6dicales 
de dossiers m6dicaux de patients clients d'un ou plusieurs centres de soins comprend au moins 
un premier ensemble de traitement des donn6es, loge physiquement dans le premier centre de 
soin et un second ensemble de traitement et de stockage des donnees situe a distance du 
1 5 pr6c6dent et connecte ^ ce dernier par des liaisons filaires directes et/ou par des liaisons 

telephoniques du genre RTC (Reseau tel6phonique commute) ou RNIS (Reseau num6rique ^ 
integration de service) ou bien par des lignes sp6cialis6es aptes au transfert des donn6es 
numeriques sous fort del)it et assurant une liaison filaire directe entre les deux ensemtjies. 
Le centre de soin peut etre un centre hospitaller ou bien un service de ce demier. 
20 Le centre de soin sera equipe d'un serveur de reseau connu en soi auquel sera ou 

seront connect6(s) un ou plusieurs sous-r6seaux prot6g6s, le tout 6tant architecture selon la 
technique du tunnel. Pour memoire cette technique consiste, dans un r6seau global en la 
definition de certaines classes d'adresses qui vont con-espondre respectivement aux divers sous- 
r^seaux, chaque sous-reseau n'6tant accessible que par un seul acc6s. 
25 On limite aussi grandement les risques de piratage, I'acces n'etant ouvert que pendant la 

dur6e d'un transfert de donnees entre le sous-r6seau et le serveur de reseau global. 

Chaque sous-reseau sera constitu6 d'un ou plusieurs micro-ordinateurs du genre PC 
connectes les uns aux autres selon une technique connue. Typiquement chaque micro- 
ordinateur possede une unit6 centrale d laquelle sont connectes un clavier, un dispositif de 
30 pointage et au moins un dispositif d'affichage tel qu'un ecran video, ou autre. 

II va de soi que chaque sous-r6seau ou meme le reseau dans sa globalit6 peut n'6tre 
constitu6 que d'un seul micro-ordinateur. 

De meme dans la mesure ou est utilise en tete de chaque reseau ou de ctiaque sous- 
reseau un serveur de reseau, les micro-ordinateurs pourront 6tre remplac6s par des postes 
35 terminaux. 

Les miCTO-ordinateurs et/ou les postes temninaux constitueront des modules de saisie 
et/ou de consultation. 

Les diff6rents sous-reseaux pourront 6quiper les diff6rents services d'un mdme centre 
hospitalier. Ces differents sous-reseaux seront equipes d'une ou plusieurs bases de donnees qui 
40 leur seront propres et qui pourront etre inaccessibles aux autres sous reseaux et seront 
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connedes cependant a une base de donn6es commune qui pourra contenirdes donnees 
gen^rales en rapport avec I'identitS de chaque patient, de ses antecedents m6dicaux et de son 
tristorique medical. 

Ces donnees seront saisies ^ I'aide des modules de saisie et apr6s validation de la 
5 saisie seront enregistrees dans la base de donn6es. Pour 6viter toutes modifications ult6rleures, 

accidentelles ou frauduleuses, ces donnees, avant enregistrement, pourront §tre converties au 

salon le langage ^ balises HTML (Hyper Text Markup Language). 

Comme on le sait ce langage, largement connu est utilise pour le codage des pages « WEB ». 

Pour renforcer encore la securite des donn6es, I'acc^s aux pages WEB relatives a ces donn6es 
1 0 sera s6curise par codage selon le fonmat SSL. 

Les bases de donn6es propres d ctiaque sous-r6seau pourront contenir le r6sultat 

d'examens effectu6s dans le service medical correspondant. Selon la specialite m6dicale du 

service, pourra etre prevue une base de donn6es relative aux commentaires ecrit 6tablis par le 

m^decin charg6 de i'examen medical. 
1 5 Le r6sultat d'un examen peut aussi 6tre materialise par des images fixes par exemple de 

radiographie, des images anim6es ou des sons. La plupart des machines utilis6es pour mener S 

bien I'examen poss6dent soit des sorties sur lesquelles est pr6sent soit un signal 

vid6ofrequence, repr6sentatif de ("image obtenue, soit un signal audiofr§quence repr6sentatif par 

exemple d'une sequence sonore Doppler. 
20 A ces differentes madiines sont associ6s des moyens convertisseurs analogiques 

num6riques connectes aux sorties analogiques vid6o frequences ou audiofr6quence de ces 

machines afin de num6riser le signal produit. 

Le signal num6rique en resultant sera trait6 ^ I'aide d'un micro-ordinateur et d'un logiciel 
specifique, connu en soit afin de r^aliser un fichier num^rique, de I'image fixe ou anim^e ou du 
25 son. 

Ainsi chaque sous-reseau pourra etre 6quip6 d'une base de donn6es contenant les 
fichiers numeriques des images fixes, une base de donnees contenant les fichiers num6riques 
des images animees et une base de donnees contenant les fichiers sons. Ces differents fichiers 
pour un meme examen constituent les differentes composantes de ces derniers. Ces differentes 
30 composantes etant reparties physiquement sur plusieurs unites de stockages, elles seront 
indexees de fa^on que par appel de I'une d'entre elles en vu de la consultation, les autres 
composantes soient recherch6es et puissent etre affichees ainsi que le dossier du patient et 
I'historique medical. 

Preferentiellement, les fichiers numeriques relatifs aux images fixes seront compresses 
35 selon le fonnat JPEG, tandis que les images animees seront converties au format MPEG. Les 
sons seront convertis au format MP3 ou autre. 

Ces fonnats sont largement repandus et sont reconnus par la plupart des materiels et logiciels 
infomiatiques. L'interet d'une telle conversion est grand. En effet il n'est plus besoin de produire 
des images sur papier argentique couteux en soi puisque par I'utilisation de ces fonnats elles 
40 peuvent maintenant etre enregistrees sur des supports du genre CD ROM qui seront remis au 
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patient. Pour cette raison d ctiaque sous-reseau pourra etre associ6e une station de gravage de 
CD ROM constituee par un micro-ordinateur 6quip6 d'un graveur de CD ROM et de logiciels 
adapt6s, ce micro-ordinateur 6tant connects au r6seau ou sous-r6seau. 

Les diff6rents fichiers de donnees avant leur enregistrement dans les bases de donn6es 
5 correspond antes sont cryptes a I'aide d'une cle publique d laquelle est associ^e une cl6 priv6e 
de decryptage. 

A parlir de ce couple de cl6, inscrit dans une memoire du serveur de r6seau ou de sous- 
r6seau, seront generics des cl6s utilisateurs qui seront dlstribuees aux diff6rents utilisateurs du 
sous-r6seau. A chacune de ces cl6s sera attache un niveau d'autorisation quant k la nature des 

1 0 donn6es consultables par le d6tenteur de la cl6. Ainsi le personnel administratif attache au 
service nnedical ne pourra pas acc6der aux r6sultats des examens, mais il pourra avoir acces 
aux donn6es purennent administratives concemant le patient. En revanche, le personnel de 
sant6, infinmidres et medecins, pourra avoir acces k I'ensemble du dossier medical du patient. 
Selon la forme pr6f6r6e de realisation, les des utilisateurs seront inscriles chacune sur 

1 5 un support du type carte k puce, plus precis6ment ces cl6s seront inscrites dans une zone 

memoire de la carte. Les diff6rents miao-ordinateurs ou temninaux du r6seau seront 6quipes de 
lecteur de carte k puce pour lire la ou les des contenues dans les m6moires de ces demi^res et 
determiner le niveau d'autorisation de son titulaire. II va de soi que le micro-ordinateur ou le 
serveur sera 6quip6 de logiciels connus en soi, adaptes k la lecture de la carte et a 

20 I'interpretation des donnees qu'elle renfenne. 

Pr6f6rentiellement k la cl6 est attache un code individual personnalise connu sous le 
nom de code « PIN », dont la saisie manuelle active les fonctions de la carte k puce. Sans la 
saisie pr6alable de ce code, le micro-ordinateur ne pourra pas lire la ou les cl6s de la carte et 
n'affichera aucune donn6e. 

25 L'un des postes de consultation poun-a §tre equipe de deux ^crans et d'une carte video a 

deux sorties. L'une des sorties sera connect6e au premier 6cran, I'autre sortie au second. De 
plus ce poste de consultation pourra etre equipe d'une carte son et d'enceintes acoustiques 
connect6es k cette carte son. Ainsi sur ce poste de consultation, le m^decin autorise pourra 
consulter tant les images et/ou les sons que les commentaires associ6s. II va de soi que ce poste 

30 de consultation sera 6quipe d'un lecteur de carte a puce pour les m§mes raisons que 
pr6c6demment 6nonc6es. 

Les divers fichiers num6riques inscrits dans les diverses bases de donn6es ou bien au 
terme d'une p6riode de temps predeterminee sont transf6r6s vers des bases de donnees que 
poss6de le deuxi^me ensemble de traitement, ce dernier constituant alors un site miroir. 

35 Pr6f6rentiellement le contenu des bases de donn6es est transf6r6 sur des bandes 

magn6tiques d'un type connu ou autre support d'enregistrement. Ces supports pourront 6tre 
adresses par voie postale au second ensemble de traitement ou leurs contenus poun-ont 6tre 
transferes par le biais des lignes t6l6phoniques ou sp6cialis6es au deuxieme ensemble de 
traitement. 
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Les bases de donn6es constitutes d I'aide de ces bandes magn6tiques pourront 6tre 
consult6es i distance depuis le premier ensemble de traitement de donn6es. A cet effet, comme 
dit precedemment, le premier ensemble de traitement de donn6es est connects soit par ligne 
t6l6phonique soit par liaison filaire directe au deuxi^me ensemble de traitement et plus 
5 pr6cis6ment a un serveur que possdde ce demier. Physiquement ces banques de donn6es 

seront constitutes par les supports s'enregistrement, en I'esptce ces bandes magnetiques et par 
des moyens de lecture de support d'enregistrement en I'occurrence des lecteurs de bandes 
magnttiques. II existe differentes sortes de bandes magnttiques, mais de preference seront 
utilisees des bandes de trts grande capacity. Les bandes magnetiques seront stocktes dans 
1 0 des unites de stockage du type magasin et seront manipultes entre Je magasin et le dispositif de 
lecture et inversement par un bras manipulateur mobile donl le deplacement est contr6l6 et 
commande par le serveur correspondant du deuxitme ensemble de traitement de donnees. Ce 
serveur sera capable de piloter et contrdler le lecteur de support d'enregistrement et avec un 
logiciel appropri6, de lire les donntes inscrites sur le support introduit dans le lecteur et plus 
1 5 pr6cistment d'atxjrd le repertoire relatif aux difftrents enregistrements que contient le support. 

Preferentiellement, pour chaque premier ensemble sera prevue une ou plusieurs unites 
de stockage, cette unit§ de stockage ne contenant que les supports d'enregistrement propre a ce 
premier ensemble de traitement. 

II y a lieu de noter que plusieurs premiers ensembles de traitement pourront §tre 
20 connectts ^ un unique deuxieme ensemble de traitement et que chaque premier ensemble de 
traitement poss6dera sa propre liaison avec le deuxitme ensemble de traitement, soit sa propre 
ligne filaire dans le cas d'une liaison directe, soit son propre numtro teleptionique d'appel dans le 
cas d'une liaison par le r6seau ttltphonique. 

L'intergt d'une telle disposition est I'ldentification de I'appelant en I'espece Tidentification 
25 du premier ensemble de traitement. 

Le deuxidme ensemble de traitement comprend aussi un serveur constituant domaine 
racine apte a generer un certificat d'authentification racine comprenant une cl6 racine publique et 
une cle racine privte. Le domaine racine pour chaque premier ensemble de traitement g6n6re au 
moins un certificat d'authentification secondaire compost de la cit publique et de la cle privee 
30 attachees audit premier ensemble. 

Le serveur du deuxitme ensemble de traitement en rtponse a une demande de transfert 
de donnees numeriques est done apte ^ identifier le premier ensemble mais aussi le degrt 
d'autorisation de la personne qui en fait la demande par lecture a distance de la carte ^ puce. Si 
la personne qui fonmule la demande n'a pas introduit sa carte a puce dans le lecteur de son 
35 micro-ordinateur ou ne possede pas les autorisations requises, sa demande ne sera pas traitte. 

Physiquement stpare des autres bases de donntes, le second ensemble de donnees 
comprend une autre base de donntes contenant les cits publiques des differents premiers 
ensembles de traitement de donnees, de sorte qu'avant transfert, les donntes confidentielles 
demandees sont cryptees par le serveur avec la cit publique du destinataire. 
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Dans la pratique le demandeur de I'infonmation, quand il se connede au premier 
ensemble de donn6es ouvre une session terminal et report du serveur du deuxi^me ensemble de 
donn6es des messages lui demandant d'introduire sa carte a puce. S'il poss6de les autorisations 
requises le serveur du deuxi6me ensemble de donn6es lui transf6rera un repertoire relatif au 
5 contenu de sa base de donn^es. II aura alors la faculty de choisir les documents qu'il souhaite 
transferer. 

Avantageusement le deuxifeme ensemble de traitement comprend un serveur Internet de 
fapon que des personnes autoris6es puissent consulter d distance et/ou tel6charger le dossier 
m6dical de leurs patients. De plus chaque premier ensemble de traitement possede son adresse 

10 Internet, mais le serveur Intemet con-espondant est celui du deuxieme ensemble de traitement 
de donnees. AInsi en se connectant d I'adresse Intemet du premier ensemble de traitement de 
donn6es, la personne autoris6e se connecte en fait sur le deuxieme ensemble de traitement de 
donnees. De la meme fagon que pr6c6demment, le serveur avant de trailer la demande v6rifiera 
d distance d'une part la presence de la carte d puce dans le lecteur et d'autre part le degr6 

1 5 d'autorisation que possede cette carte avant de traiter la demande. 

Le deuxieme ensemble de traitement de donnees possedera egalement un serveur de 
courrier 6lectronique associ^ ^ une base de donnees contenant les adresses electroniques des 
premiers ensemble de traitement et/ou des personnes autorisees a emettre ou d recevoir du 
courrier 6lectronique. 

20 Les courriers regus dans la boite a lettre electronique du destinataire seront cryptes par 

le serveur du deuxidme ensemble de traitement avec la cle publique de ce destinataire. 

Pr6f6rentiellement, le serveur de r^seau Intemet int6gre un moteur specialise de 
recherche des possesseurs des adresses Intemet et des patients clients du ou des premiers 
ensembles de traitement. L'acc6s d ce moteur de recherche sera reserve aux seuls d^tenteurs 

25 d une cl6 utilisateur. Par ailleurs pour ce qui conceme les patients et leurs dossiers m6dicaux, ils 
ne pourront effectuer leur recherche que panni ceux clients du centre m6dical auquel ils 
appartiennent. 

Enfin, le serveur Intemet du second ensemble de traitements pilote pour chaque premier 
ensemble un site public accessible ^ toutes personnes int6ress6es et regroupant diverses 
30 donnees publiques relatives au premier ensemble de traitement et un site priv6 accessible aux 
seuls possesseurs d'une cl6 d'utilisation. Par I'lnterm^diaire de cette partie privee, le possesseur 
d'une cl6 d'utilisation pourra acc6der, en fonction du degre d'autorisation ^ tout ou partie des 
donn6es confidentielles ainsi qu'au moteur de recherche specialise. 

II va de soi que la presente invention s'applique au traitement de toutes donnees et 
35 dossiers confidentiels et n'est pas Iimit6e au seul domaine medical. II est b>ien evident qu'elle 
peut recevoir toutes variantes sans pour autant sortir du cadre du present brevet. 
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10 

REVENDICATIONS. 

1/ Systdme de traitement de donn6es confidentielles telles que les donn6es m6dicales 
des dossiers m^dicaux de plusieurs patients, clients d'un ou plusieurs centres de soins, 
caracteris6 en ce qu'il comprend : 
5 - au moins un premier ensemble de traitement des donnees comprenant au moins un serveur 
auquel sont connect6s au moins une premiere base de donn6es, au moins un module de saisie 
at d'enregistrement des dites donndes confidentielles dans ladite premiere base de donn6es, 
lesdites donn§es avant enregistrement 6tant crypt6es ^ I'aide d'une premiere cl6 puWique 
enregistr6e dans une m6moire du serveur, ladite m6moire contenant aussi une premiere cl6 

10 priv6e corr6l6e ^ la premiere cl6 puWique, ledit premier ensemble comportant en outre au moins 
un module de lecture des donn6es enregistr6es pourvu d'un lecteur d'un support avec m6moire 
contenant au moins une cl6 utilisateur, con6\6e au couple premiere d6 publique et premiere cle 
privee, cette cle utilisateur 6tant utiiisable pour le decryptage de toutes les donn6es cryptees ou 
d'une partie de ces demieres seulement, selon le niveau d'autorisation attach^ d ladite cl6 

15 utilisateur, 

- un second ensemble de traitement et de stockage des donn6es, comprenant au moins premier 
serveur auquel sont connectes au moins une premiere base de donn6es dans laquelle sont 
archiv6es les donnees confidentielles pr6alablement enregistrees dans la premiere base de 
donnees du premier ensemble de traitement, ledit second ensemble de traitement etant 

20 independant du premier et 6tant connectable a ce dernier par des lignes telephoniques et/ou par 
des lignes sp6cialisees, ledit second ensemble etant de plus pourvu d'un serveur constituant 
domaine racine, ledit serveur g6n6rant un certificat d'authentification radne comprenant une de 
racine publique et une cl6 racine priv6e, et ledit domaine radne 6tant apte pour chaque premier 
ensemble d g6n6rer au moins un certificat d'authentification secondaire compos6 de ladite 

25 premiere de publique et de ladite premiere d6 priv6e et pouvant recevoir notamment du premier 
ensemble de traitement des demandes de transfert de copie des donn6es ardiiv6es, ledit 
second ensemble en r6ponse S cette demande, assurant le cryptage des dites donn6es avec la 
premiere d6 publique avant de transferer les dites donnees vers le premier ensemble de 
donnees 

30 21 Syst6me de traitement selon la revendication 1 , caracterise en ce que les donnees 

alphanumdriques, saisies au niveau du premier ensemble, sont apr^s validation de la saisie et 

avant cryptage, cod6es selon le format HTML. 

3/ Syst6me de traitement selon la revendication 1 ou la revendication 2, caract6ris6 en 

ce que le support sur lequel est inscrite la de utilisateur est du type carte a puce. 
35 4/ Syst6me de traitement selon Tune quelconque des revendications pr6c6dentes, 

caracterise en ce que le premier ensemble comprend plusieurs bases de donnees dont une au 

moins regoit les donn6es alphanumeriques. 

5/ Systfeme de traitement selon I'une quelconque des revendications pr6c6dentes, 

caracterise en ce que le premier ensemble comprend plusieurs bases de donn6es dont une au 
40 moins rcQOit les fictiiers num6riques d'images fixes comme des radiographies. 
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6/ Syst6me de traitement selon Tune quelconque des revendications pr6c6dentes, 
caract6ris6 en ce que le premier ensemble de traitement comprend plusieurs bases de donn6es 
dont une au moins re?oit las fichiers numeriques d'images dynamiques telles qu'6chographie. 

7/ Syst^me de traitement selon Tune quelcxjnque des revendications precedentes, 
5 caracteris6 en ce qu'il est 6quip6 de plusieurs bases de donnees dont une au moins repoit les 
fictiiers num6riques de sequences sonores par exemple Doppler. 

8/ Systdme de traitement selon la revendication 5, caract6ris6 en ce que les fichiers 
num6riques relatifs aux images fixes sont au fomiat JPEG. 

9/ Systfeme de traitement selon la revendication 6, caracteris6 en ce que les fichiers 
10 relatifs aux images dynamiques sont au fomiat MPEG. 

10/ Systeme de traitement selon la revendication 7, caract6ris6 en ce que les fichiers 
num6riques relatifs aux sequences sonores sont au format MP3, 

11/ Systeme de traitement selon I'une quelconque des revendications precedentes, 
caract6ris6 en ce que I'un au moins module de consultation du premier ensemble de donn6es est 
15 constitu6 par un tenninal du type micro-ordinateur connects aux bases de donnees et poss6dant 
un lecteur de carte utilisateur, ledit micro-ordinateur 6tant 6quip6 d'une carte vid^o pr6vue avec 
deux sorties connect^es ^ deux ecrans video pour I'affichage simultan6 sur I'un, des images fixes 
ou dynamiques et sur I'autre des eventuels commentaires 6crits associ6s ^ aux dites images 
fixes ou dynamiques. 

20 1 2/ Systeme de traitement selon I'une quelconque des revendications pr6c6dentes, 

caracterise en ce que le second ensemble de traitement est 6quip6 d'un serveur reseau Intemet. 

13/ Systeme de traitement selon la revendication 12, caract6ris6 en ce que le second 
ensemble de traitement est 6quip6 d'un serveur de counier electronique associ6 ^ une base de 
donnees dans laquelle sont introduites les adresses Intemet des personnes autoris6es a envoyer 

25 et recevoir les donnees confidentielles et une autre base de donnees contenant les premieres 
cl6s publiques de chacune de ces personnes. 

14/ Systeme de traitement selon la revendication 12 ou la revendication 13, caracterise 
en ce que le serveur Intemet du second ensemble de traitement pilote un site Intemet 
comportant une partie publique accessible ^ quiconque regroupant diverses donnees publiques 

30 non confidentielles relatives au premier ensemble de traitement et une partie priv6e accessible 
aux titulaires d'une cl6 d'utilisation. 

15/ Systeme de traitement selon I'une quelconque des revendications 12 ^ 14, 
caracterise en ce que le serveur de reseau Internet int6gre un moteur sp6cialis6 de recherche 
des possesseurs des adresses Intemet et des patients clients. 

35 16/ Systeme de traitement selon I'une quelconque des revendications 1 2 a 1 5, 

caract6ris6 en ce que le premier ensemble de traitement est dot6 d'une adresse Intemet et que 
racc6s via le r6seau Intemet au premier ensemble de traitement et aux donnees confidentielles 
que ce dernier poss^de tant au niveau de ses propres bases de donnees que des bases de 
donnees du second ensemble de traitement est valide par le serveur de cle du second ensemble 

40 de traitement de donnees. 



